Um integrante da comissão encarregada de investigar os abusos do software espião Pegasus teve o próprio iPhone esvaziado por dentro - um episódio tão irónico quanto alarmante, no coração da União Europeia (UE).
A revelação veio dos especialistas em cibersegurança do Citizen Lab, da Universidade de Toronto, num caso particularmente constrangedor para Bruxelas. Stelios Kouloglou, jornalista grego e ex-eurodeputado, teve o seu iPhone pessoal comprometido em várias ocasiões.
A ironia é completa: ele foi atacado enquanto participava ativamente da comissão PEGA, um órgão do Parlamento Europeu criado especificamente para apurar os desvios ligados a softwares espiões na Europa. É a primeira vez que um membro dessa comissão oficial é publicamente identificado como vítima.
Como o “zero-click” no iOS abriu caminho para o Pegasus
Para aceder aos dados do eurodeputado, os atacantes recorreram a uma técnica especialmente eficaz: uma falha “zero-click” escondida no iOS. Diferentemente dos golpes mais comuns, a vítima não precisou clicar em link suspeito algum nem instalar qualquer ficheiro.
Segundo o Citizen Lab, o malware explorou uma vulnerabilidade relacionada ao sistema de casa conectada do iPhone para entrar de forma silenciosa. Depois de instalado, o programa conseguiu sifonar todo o conteúdo do aparelho sem que o proprietário percebesse.
Um timing impossível de ignorar
A ferramenta usada nesta intrusão foi o próprio Pegasus, o software espião mais temido do mercado. Desenvolvido pela empresa israelense NSO Group, o produto é vendido, em tese, a agências governamentais para o combate ao terrorismo e ao crime organizado.
Na prática, porém, o Pegasus está no centro de um escândalo global há anos. Investigações sucessivas demonstraram que diferentes governos o utilizam para vigiar alvos muito menos legítimos - como opositores políticos, ativistas de direitos humanos e jornalistas. A própria Grécia foi abalada pelo seu escândalo nacional de espionagem, apelidado de “Watergate grego”.
Datas dos ataques e a comissão PEGA
No caso de Kouloglou, o calendário das invasões dificilmente parece coincidência. O Citizen Lab concluiu que o primeiro ataque aconteceu em outubro de 2022, durante um período de audiências tensas, quando a comissão PEGA redigia o seu primeiro relatório de investigação sobre vigilância na Europa.
Depois disso, mais dois ataques ocorreram em março de 2023, exatamente quando o eurodeputado viajava entre Atenas e Bruxelas para finalizar o relatório. Alguém, ao que tudo indica, queria conhecer os mínimos detalhes e segredos do trabalho da instância.
Inércia política
A revolta de Stelios Kouloglou é compreensivelmente enorme. O ex-eurodeputado manifestou indignação não só pelo roubo de dados profissionais, mas também pela exposição de fotos e recordações extremamente íntimas. Determinado a levar o caso adiante, ele declarou que pretende processar a NSO Group. A eurodeputada belga Saskia Bricmont denuncia “um ataque direto ao Estado de direito”.
O episódio também expõe uma preocupante paralisia política. Embora a comissão PEGA tenha apresentado conclusões e recomendado medidas rigorosas, a UE não adotou nenhuma ação concreta. Para John Scott-Railton, pesquisador sénior do Citizen Lab, trata-se de uma situação “embaraçosa” para a Europa.
Enquanto isso, os Estados Unidos já avançaram ao colocar a NSO Group numa lista negra. Sem leis firmes e sem um laboratório comum de defesa tecnológica, as instituições europeias continuam hoje particularmente expostas a armas digitais.
Comentários
Ainda não há comentários. Seja o primeiro!
Deixar um comentário